Firwat soll ech Sécherheetsverhalen Logbicher benotzen?

Dir musest Pläng maachen fir e Intruder ze fannen

Hoffentlech hält Äre Computeren gepakt a aktualiséiert a Äert Netz ass sécher. Allerdéngs ass et zimlech onvermeetslech datt Dir op e puer Punkte mat béiswëlleg Aktivitéit gesprëtzt - e Virus , Worm , Trojan Päerd, Hack Attack oder soss. Wann dat passéiert ass, wann Dir déi richteg Saache gemaach hutt virum den Attack kënnt Dir d'Aarbecht feststellen wann a wéi d'Attack e groussen Erfolleg huet.

Wann Dir jeemools d'TV Show CSI gesi hutt oder iwwer all aner Polizei oder legal TV Show kënnt Dir och soen, datt souguer mat dem schlimmste Shred aus forensesche Beweismëttel d'Ermëttler kënnen de Verwierker vun enger Verbriechen identifizéieren, ze trackéieren an ze fangen.

Awer, wier et net gutt, wann se net mat Faseren ze süchteg sinn fir d'Ee Hoer ze fannen déi eigentlech dem Täter gehuewen huet a DNA Tests fir seng Besëtz ze identifizéieren? Wat wier wann et e Rekord gouf op jiddferengem gezeechent, wien si hir Kontakt mat a wéini? Wat wier wann et e Rekord hale vun deem wat fir dës Persoun geschitt ass?

Wann et esou sinn, kënnen d'Enquêteuren wéi déi an der CSI vu Geschäft sinn. D'Polizei fënnt den Kierper, kuckt de Rekord fir ze gesinn, wien mat dem verstuerwenen an de verstuerwene Kontakt komm sidd a wat gemaach gouf an si hätten d'Identitéit scho benotzt, ouni ze verdicken. Dëst ass wat Protokolléierung ubitt, wat mat der Versuergung vun onensesche Beweiser gëtt, wann et béiswëlleg Aktivitéit op Ärem Computer oder Netzwierk ass.

Wann e Netzwierker Administrator net zougitt oder net d'korrekt Ereegn opmaacht, andeems mat forensesche Beweiser ze verstoen fir d'Zäit an d'Datum oder d'Methode vun engem net autoriséierten Zougang ze identifizéieren oder aner béiswannende Aktivitéit ka sou einfach wéi schwéier sinn wéi déi sproochbake Nadel an enger Heu ass. Oft ass d'Ursaach vun engem Attack net entdeckt. Hacked oder infizéierte Maschinnen ginn gereinegt an all geet zréck a Geschäfter wéi gewéinlech, ouni ze wëssen ob d'Systeme besser si wéi si waren wann se an der éischter Plaz gefuer sinn.

E puer Applikatiounen protokolléieren d'Defaulten. Webserver wéi IIS an Apache generell all Approche verkafen. Dëst ass haaptsächlech benotzt fir ze kucken wéi vill Leit de Site besicht hunn, wéi eng IP Adress déi se benotzt hunn an aner Informatiounstypen iwwer d'Websäit. Mä, am Fall vu Würmer wéi CodeRed oder Nimda, kënnen d'Webprotokoller och weisen datt wann infizéierte Systemen op Äre System zougänglech sinn, well se bestëmmte Befehl, déi se versichen, déi an de Logbicher opfänken, ob se erfollegräich sinn oder net.

Verschidden Systemer hunn verschidden Audit an Gebaierfunktiounen gebaut. Dir kënnt och eng Software installéieren fir Iwwerwaachungsaktiounen ze prototéieren an ze protokolléieren (kuckt Tools an der Linkbox op der rietser Säit vun dësem Artikel). Op enger Windows XP Professioneller Maschinn sinn d'Optiounen fir Konto Logon Ereegnisser, Kontounemanagement, Verzeichnisdienst Zougank, Logongéiren, Objektszug, Politike Verännerung, Privileg Benotzung, Prozessverfolgung a Systemverännerungen.

Fir jiddereng dovun kënnt Dir wielen fir Successioun ze maachen, Versoen oder näischt. Benotzt Windows XP Pro als Beispill, wann Dir keng Logbicher fir den Zougang op den Objet aktivéiert hutt, well Dir keng Rekord opgeholl hutt, wann e Fichier oder Fichier ass deen lescht zougänglech ass. Wann Dir just Logbuch vun der Versammlung aktivéiert hutt, musst Dir e Rekord erreechen wann e jidfereen op de Fichier oder den Ordner opruffen ass awer net fonktionnéiert wéinst der net korrekt Permissiounen oder Autorisatioun, awer Dir musst net Rekord bei engem autoriséierten Benotzer op de Fichier oder den Ordner opruffen .

Well en Hacker kéint ganz gutt mat engem gebrochene Benotzernumm a Passwuert kënne se op Erfassungsverloscht solle ginn. Wann Dir d'Logbicher kucke gesinn a gesinn datt Bob Smith d'Firma finanziell Ausso op 3 Auer Sonndes geläscht huet, kéint sécher sinn datt Bob Smith schlofen ass an datt vläicht säi Usernumm a Passwuert gefrot gouf. Wéi och ëmmer, wësst Dir elo wat wat mat der Datei geschitt ass a wann et e Startpunkt fir d'Ënnersichung gëtt wéi et geschitt ass.

Ënnerhalung vum Versoen an Erfolleg vun Erfolleg ka lech nëtzlech Informatiounen an Aart a Weis, awer Dir musst Är Iwwerwaachungs- a Protokollaktivitéiten mat Systemleistung ausbalancéieren. Nodeems d'Mënscherechter Bicherbeispill vun uewege sinn - wäerten d'Enquêteuren hëllefen, wann d'Leit e Log vu jiddferengem gekuckt hunn, wa se an d'Kontakt komm an och wat geschitt ass während der Interaktioun, awer et wier sécherlech lues Mënschen.

Wann Dir musst ophalen a schreiwe wien, wéi a wann Dir fir all Begréissung Dir all Dag kannt et Är Produktivitéit staark beaflossen. Datselwecht ass fir d'Iwwerwaachung an d'Protokolléierung vun Computeraktivitéit. Dir kënnt all méiglech Erklächen an Erfolleg Protokollsoptioun aktivéieren an Dir wäert e ganz detailléierte Rekord vun alles wat an Ärem Computer läschen. Allerdéngs wäert Dir staark Leeschtung maachen, well de Prozesser gëtt beschäftegt opzehuelen 100 verschidden Eegeschaften an de Logbicher wann all Mensch een Knäpp gedréckt oder klickt hir Maus.

Dir musst erauszeechen waat d'Zort vun den Protokoller wärten mat der Auswierkung op d'Leeschtung vun der Systemer sinn an de Balance kommen, déi am beschten ass fir Iech. Dir sollt och am Gedächtnis anhalen, datt vill Hacker-Tools a Trojan Trojan Programmer wéi Sub7 d'Utilities erlaabt datt se Log-Dateien veränneren fir hiren Aktiounen ze verstoppen an d'Intrusioun ze verstoppen, sou datt Dir 100% iwwer d'Log Dateien net kënnt hunn.

Dir kënnt e puer vun den Ausféierungsprobleme vermeiden an eventuell d'Hacker-Tool-Verschlechterung vun Probleemer andeems Dir verschidde Saachen a Berücksichtegung beim Eegeschaft fir Äert Loggedie setze wäert. Dir musst uginn, wéi grouss d'Logbicher ginn kréien an sécher sinn, datt Dir genuch Plaatzplazen an der éischter Plaz hutt. Dir musst och eng Politik froen fir ob al Logbicher ze schreiwen oder geläscht ze ginn oder wann Dir d'Logbicher op all Dag, wöchentlech oder aner periodesch Basis archivéiere wëllt, fir datt Dir äert Aganks hutt och zréck op.

Wann et méiglech ass eng dedizéierter Festplack an / oder Hard Drive Controller ze benotzen, musst Dir manner Effekter beaflosse well d'Log Dateien op der Festplatte geschriwwe ginn ouni sech mat de Programmer ze kämpfen déi Dir versicht fir den Zougang zum Drive ze lafen. Wann Dir d'Log Dateien op en getrennten Computer leet - méiglecherweis fir de Log-Dateien a mat ganz verschiddene Sécherheetsparameter ze spezialiséieren - Dir kënnt e Fichier intruder ze blockéieren oder d'Log Dateien och änneren oder läschen.

Eng Finale Notiz datt Dir sollt net waarden bis datt et ze spéit ass a wéi Äre System scho protokolléiert oder kompromittéiert ass, fir d'Logbicher ze gesinn. Et ass besser, d'Logbicher periodesch ze iwwerpréiwen, sou datt Dir wësst wat ass normal an e Baseline ze grënnen. An dësem Fall, wann Dir op falschen Eegeschafte kommt, kënnt Dir se als Erkenntnes erkennen an proaktesch Schrëtt huelen fir Äert System ze härten anstatt d' Forensesch Enquête ze maachen, nodeems se ze spéit ass.